C’est le coup dur pour Google. Près de 3,2 milliards de comptes et de mots de passe Gmail et Hotmail ont été rendus publics sur le darkweb. En cause ? Une cyberattaque massive baptisée Comb, qui a visiblement porté ses fruits, au point que beaucoup redoutent déjà le casse du siècle…. D’autant plus que Comb ne concerne pas que Gmail, mais aussi Netflix, LinkedIn ou encore Hotmail. Au total, ce sont plus de 15,2 milliards de comptes qui auraient ainsi été divulgués, rapporte le site Cybernews. Vous vous en doutez, la situation est particulièrement critique. En plus du très grand nombre de comptes concernés par cette attaque, notre adresse mail est bien souvent la porte d’entrée de tous nos autres comptes en ligne.
Comment savoir si je suis concerné ?
Pour savoir si votre compte Gmail fait partie des malchanceux divulgués sur le darkweb, Cybernews a créé un site dédié — en anglais, capable de vous indiquer si votre mail Gmail ou Hotmail a été compromis. Il suffit simplement pour cela d’entrer votre adresse. Attention à bien tester tous vos comptes !
Si vous faites partie des concernés, ne tardez pas. Pour éviter les mauvaises surprises, on vous conseille d’agir au plus vite, en changeant immédiatement votre mot de passe, en optant pour une clé suffisamment sécurisée, et surtout unique. Vous pouvez d’ailleurs retrouver ici tous nos conseils en cas de vol de données en ligne. Dans le doute, cette attaque a au moins le mérite de nous rappeler à quel point nous sommes dépendants de nos adresses mails. Il est donc préférable de changer dès à présent l’ensemble de vos mots de passe, même si ces derniers n’ont pas officiellement été piratés. Idem pour vos comptes LinkedIn et Netflix. Au quotidien, il est également préférable d’opter pour un système d’authentification à double facteur, ainsi qu’un gestionnaire de mots de passe. Beaucoup sont payants mais certains sont gratuits, à l’image de KeePass qui est également intégré à la liste du socle interministériel de logiciels libres préconisés par l’État.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
c’est louche
Les hashs ont été piraté ou les mots de passe en clair?
Je pense pas que google stocke ses mdp en clair
Fake news à mon avis..
C’est juste une nouvelle liste, bien indexée, mais qui ne fait que reprendre les vieux leak..
Rien à voir avec gmail
@Amandine Jonniaux : Soignez un peu la recherche des infos car c’est juste du putaclic cet article (comme ceux de la plupart de vos confrères “journalistes web/digital”)
“Une attaque massive a conduit à la fuite de 3,2 milliards” NON.
C’est une base de données de 3 milliards d’entrées qui a été compilé et filtré proprement (elle contient des vielles attaques et certaines plus récente), celle ci contient selon les description aussi juste des noms de comptes, uniquement des emails ou des mots de passe en clair 😉
« Les données qui ont fait l’objet de fuite ont été partagées la semaine dernière sur des forums de piratage. Baptisée “COMB”, ou la compilation de nombreuses fuites, par les experts, notamment CyberNews, la fuite de données n’est pas le résultat d’un nouveau piratage ou d’une nouvelle brèche dans les données. Au lieu de cela, elle présente des informations d’identification d’utilisateur extraites de nombreuses fuites précédentes, toutes rassemblées dans une base de données facile à utiliser. Au total, ses créateurs ont accumulé plus de 15,2 milliards de comptes piratés«
Fake news, il suffit de mettre n’importe quelle adresse @gmail.com sur le site pour qu’il indique qu’elle soit piratée, même si cette adresse n’existe pas. C’est un SCAM pour aspirer des adresses mails, j’espère que partager ce genre de torchons, qui incite les gens à donner leur informations personnelles à un source verreuse, aura des conséquences légales.
Ils sont rentrés dans mes données de mon téléphone portable et que se n’est pas la première fois car ils font du chantage et de l’intimidation et des menaces sexiste et des menaces de mort et des injures et que c’est une violation des droits de l’humain et des droits de l’homme
Non puisque ça indique que j’ai deux comptes email Hotmail piratés et que mon Gmail n’a pas été piraté
je confirme aussi
mon email perso (que jutilise souvent) est noté comme piratey
mon email pro (que j’utilise beaucoup plus rarement) est noté comme safe
ca me semble coherent par rapport a mes utilisation, perso !
Je vous invite à essayer avec des adresses au hasard improbables, c’est du bidon.
Faux, testé avec 17 adresses mail au hasard et toutes safe dans exception. Tu as du tester avec des adresses mails qui te paraissait banal mais pourtant déjà existantes et faisant partie des comptes piratés..
Bon bin la mienne n’en fait pas partie.
Coup de bol. Je vais aller faire une grille euromillion pour le coup
Faux. J’ai testé avec mes 3 Gmail et 2 hotmail. Seules deux (que j’utilise le plus et si sont connectés à pleins de providers) sont marquées piratées. Ça me paraît cohérent aussi.
Ca ne fonctionne pas, j’ai entré mon adresse mail mais rien ne se passe .
Fake News, testés avec 3 adresses mails dont celle que j’utilise le plus. Résultat, cette dernière est compromise et pas les 2 autres. Il existe tellement de comptes gmail générés aléatoirement qu’il est plus que probable que tu as tapé des adresses réelles (même si elles ne ressemblent à rien)
Juste une base de données avec des adresses mails, aucune indication et preuve que les mots de passe y soient inclus. De plus avec la double authentification impossible de se connecter sur un compte Gmail sans avoir le tél associé sous la main (avec son mdp ou empreinte digitale…)
Alors si c’est vrai et que ils sont piraté google et qu’ils sont récupérer les mots de passe en clair
alors on devrais porter plainte contre Google car le RGPD stipule bien que les mots de passe doive être crypter et que il sont impossible de faire l’inversion.
Quelle bêtise, tour cela est crypté, même si la base à été volée elle est inutilisable, sauf si votre mot de passe est toto, 12345, betty, pierre, …
Je trouve ce manque de professionnalisme absolument honteux: vous avez relayé des informations complètement fausses sans faire la moindre vérification préalable ni le moindre recoupement.
Pire encore: le site Cybernews sur lequel vous renvoyez vos lecteurs pour vérifier si leur adresse est compromise ENVOIE LES ADRESSES EMAIL EN CLAIR ET DANS L’URL (HTTP GET pour ceux qui connaissent).
Franchement, c’est le comble: même d’un point de vue GDPR c’est inacceptable. Le site aurait dû envoyer un hash uniquement (donc non réversible), k-anonymisé (pour qu’on ne puisse pas trouver les hash dans des dictionnaires) et en POST (pour qu’il ne se retrouve pas dans les logs des différents serveurs impliqués).
En faisant peur à vos lecteurs, vous mettez la sécurité de leurs données en danger en les renvoyant sur des sites dont le but est de voler les données personnelles des gens en leur mentant explicitement (“Your email is not collected, logged or stored. The tool hashes the email you entered and uses only this hash to perform a search in our database.”).
Jamais plus je ne lirai un de vos articles et j’encourage vivement vos lecteurs à en faire de même.
Pensez à activer la double authentification !
Le site est en https les paramètres GET dans l’URL sont donc crypté nn ?
https va chiffrer (on ne dit pas cripter) les requetes POST, pas les GET. Et je confirme le site en question envoie les adresses mails en GET et donc en clair vu que l’URL est toujours en clair.
méa culpa, le handshake se fait en amont… j’ai buggé. Donc non, c’est bien protégé. L’URL est envoyé chiffré.
Oui chiffrer quand je dis crypté c’est plus dans le sens que c’est caché pas en claire quoi.
Yes le handshake toujours avant la requête
Finalement ce site c est de la daube. Ça ne sert qu’à donner qqs infos qui sont des rappels piochés à droite et à gauche. Pour de vrais articles bien fournis et étayés il faut aller voir ailleurs. On le prend pour cela et pas plus…
3 milliards? Il faut donc considérer que tous les internautes sont concernés lol